Điểm:1

Các tin nhắn PGP có dễ bị tấn công trung gian không?

lá cờ pl
Lee

Giả sử Alice muốn gửi một tin nhắn được mã hóa PGP cho Bob.
Cô ấy tạo một khóa đối xứng, mã hóa nó bằng khóa công khai của Bob và gửi cả tin nhắn lẫn khóa đối xứng đã mã hóa cho Bob. Sau đó, Bob có thể giải mã tin nhắn của cô ấy.
Nhưng điều gì sẽ xảy ra nếu kẻ tấn công MiTM sửa đổi cả khóa đối xứng được mã hóa và tin nhắn rồi gửi chúng cho Bob?
Không phải kẻ tấn công có thể giả mạo tin nhắn gốc sao? Tôi đang hiểu sai điều gì?

kelalaka avatar
lá cờ in
Chứng thư số? hoặc lấy khóa công khai?
lá cờ pl
Lee
@kelalaka Khóa công khai của Bob được công khai cho mọi người, vì vậy kẻ tấn công cũng có thể sử dụng nó. Làm thế nào để bạn liên quan đến chứng chỉ kỹ thuật số?
kelalaka avatar
lá cờ in
Bạn đã quên để ký các tin nhắn? https://web.archive.org/web/20080702073337/http://www.pgpi.org/doc/pgpintro/
lá cờ pl
Lee
@kelalaka Bạn ký tin nhắn, nhưng kẻ tấn công cũng có thể ký tin nhắn của chính họ, tuy nhiên người nhận sẽ có thể giải mã tin nhắn của kẻ tấn công (vì nó đã được mã hóa bằng khóa chung của người nhận)
kelalaka avatar
lá cờ in
Khi bạn kiểm tra chữ ký của tin nhắn, bạn sẽ thấy gì? Bạn có biết chữ ký số là gì? Nó yêu cầu khóa riêng của chủ sở hữu để ký và khóa chung để xác minh. Khi bạn nhận được tin nhắn từ Bob, bạn kiểm tra sự tồn tại của khóa công khai của Bob hoặc lấy nó từ một thư mục đáng tin cậy,,. Nếu chữ ký không được xác minh bằng khóa chung của Bob thì tệp bị hỏng hoặc ai đó đang cố giả mạo...
lá cờ kr
@Lior: *nhưng kẻ tấn công cũng có thể ký vào tin nhắn của chính chúng* - Không. Kẻ tấn công **không thể** ký vì không có khóa riêng của Alice. Nếu kẻ tấn công ký bằng khóa riêng, thì Bob sẽ thấy rằng chữ ký không thuộc về Alice.
Điểm:1
lá cờ in

Lý do tại sao điều này là không thể, như những người khác đã nêu, rằng một tin nhắn đã ký không thể bị giả mạo. Tất nhiên, kẻ tấn công có thể ký bất kỳ tin nhắn nào, nhưng chỉ với khóa riêng thuộc khóa công khai/chứng chỉ của chính họ.

Vì vậy, những gì xảy ra là:

  1. Alice ký tin nhắn bằng khóa riêng của cô ấy, cho biết khóa/chứng chỉ công khai của cô ấy;
  2. Alice mã hóa tin nhắn đã ký bằng khóa công khai của Bob (vì PGP sử dụng ký-rồi-mã hóa);
  3. Bob nhận được tin nhắn và giải mã nó bằng khóa riêng của mình;
  4. Bob lấy ID khóa của Alice và tra cứu khóa/chứng chỉ công khai của cô ấy, phát hiện ra đó là cô ấy;
  5. Bob xác minh rằng chữ ký dưới thư là của Alice.

Bây giờ Malory (MitM sử dụng tên thông thường) rõ ràng có thể gửi tin nhắn được mã hóa cho Bob, tuy nhiên cô ấy không thể giải mã tin nhắn của Alice vì cô ấy không có khóa riêng của Bob.

Liên quan đến việc tạo chữ ký: Malory có thể đặt chữ ký của chính mình và thay đổi ID nhưng sau đó tin nhắn sẽ không phải từ Alice.

Tất nhiên, điều này yêu cầu Bob phải biết trước khóa công khai/chứng chỉ của Alice, nếu không, Malory có thể tạo một cặp khóa và gửi khóa công khai/chứng chỉ cho Bob, mạo danh Alice. Với PGP, niềm tin đó được tạo ra bằng cách sử dụng một trang web tin cậy.

Vì trang web tin cậy đó chưa bao giờ an toàn như vậy đối với PGP, nên bạn nên thiết lập niềm tin trực tiếp, ví dụ:. bằng cách gửi chứng chỉ qua thư và sau đó xác minh dấu vân tay chính qua điện thoại. PGP đã được thiết kế với mục đích này (ví dụ: thiết lập một hệ thống dấu vân tay dễ xác minh và yêu cầu sự tin cậy rõ ràng đối với các khóa/chứng chỉ công khai trong kho lưu trữ ủy thác).

Maarten Bodewes avatar
lá cờ in
Coi chừng PGP là một giao thức cũ; các cuộc tấn công tồn tại và các giao thức mới hơn có thể cung cấp bảo mật tốt hơn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.